引言

為切實(shí)解決電力公司各級(jí)單位信息安全防護(hù)體系建設(shè)不平衡的問題,緩解信息安全人員數(shù)量不足和基層單位技術(shù)能力欠缺的情況,確保公司各項(xiàng)信息安全技術(shù)措施和管理要求落實(shí)到位,順利完成各特定時(shí)期信息安全保障任務(wù),現(xiàn)根據(jù)電力公司強(qiáng)化信息安全工作的迫切要求,在信息技術(shù)監(jiān)督體系基礎(chǔ)上,利用公司現(xiàn)有技術(shù)力量,形成電力公司信息安全技術(shù)督查隊(duì)伍,完善技術(shù)督查工作機(jī)制,研發(fā)信息安全督查工具已成必然趨勢(shì)。

利用安全督查工具,為公司信息網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行提供有力支撐,準(zhǔn)確、全面地督查公司存在的信息安全風(fēng)險(xiǎn)與隱患,全面提升公司信息內(nèi)外網(wǎng)邊界的安全性,加強(qiáng)對(duì)公司安全設(shè)備的策略監(jiān)測(cè)和管控。

1安全督查工具業(yè)務(wù)流程

1.1防火墻策略督查工具

防火墻策略督查工具主要通過系統(tǒng)在線采集并解析防火墻設(shè)備配置文件,生成防火墻策略。在采集數(shù)據(jù)的基礎(chǔ)上,對(duì)防火墻的配置變更進(jìn)行跟蹤,對(duì)策略進(jìn)行比對(duì)分析及策略合規(guī)性分析。其具體業(yè)務(wù)流程如圖1所示。

1.2信息網(wǎng)拓?fù)浒l(fā)現(xiàn)工具

信息網(wǎng)拓?fù)浒l(fā)現(xiàn)工具主要是通過市縣公司及廣域網(wǎng)核心交換機(jī)中的MAC信息,以及對(duì)設(shè)備的端口與服務(wù)進(jìn)行掃描,從而對(duì)設(shè)備臺(tái)賬、MAC地址庫(kù)及開放的端口與服務(wù)進(jìn)行分析。其具體業(yè)務(wù)流程如圖2所示。

1.3基于lP的接入設(shè)備臺(tái)賬檢查工具

基于IP的接入設(shè)備臺(tái)賬檢查工具主要是通過接入IP管控、VRV、I6000中的臺(tái)賬信息進(jìn)行對(duì)比,錄入完全一致的資產(chǎn)臺(tái)賬,整改沖突或差異的資產(chǎn)臺(tái)賬。其具體流程如圖3所示。

2功能說明

2.1防火墻策略督查工具

2.1.1拓?fù)鋱D元維護(hù)

提供自定義拓?fù)鋱D元類型設(shè)置及屬性編輯,包括名稱、圖片、類型等:圖元應(yīng)包括不同網(wǎng)絡(luò)、網(wǎng)絡(luò)安全域、防火墻、路由器、網(wǎng)絡(luò)節(jié)點(diǎn)、主機(jī)及主機(jī)群等主要類型。

2.1.2拓?fù)鋱D管理

建立全省地市公司信息網(wǎng)絡(luò)和網(wǎng)絡(luò)安全域的防火墻拓?fù)溥B接圖,提供拓?fù)鋱D在線編輯功能,支持通過拖拽不同防火墻、主機(jī)等類型圖元,繪制拓?fù)鋱D連接關(guān)系,支持上述拓?fù)鋱D元與相應(yīng)臺(tái)賬信息的關(guān)聯(lián)編輯。

2.1.3配置變更跟蹤

建立變革時(shí)間線,跟蹤配置變更情況,并對(duì)比前后兩個(gè)配置的變更差異。

2.1.4配置變更預(yù)警

按照區(qū)域顯示當(dāng)前配置變更記錄,可進(jìn)一步查看配置變更詳細(xì)記錄。

2.1.5策略合規(guī)檢查

將防火墻策略需求錄入系統(tǒng),系統(tǒng)自動(dòng)與實(shí)際導(dǎo)出的防火墻策略進(jìn)行一致性檢查,排查與實(shí)際需求不一致的防火墻策略,并在頁(yè)面呈現(xiàn)不一致結(jié)果。

2.1.6數(shù)據(jù)采集并解析

定時(shí)在線獲取防火墻配置文件,然后依據(jù)該品牌防火墻模板定義格式進(jìn)行解析,生成標(biāo)準(zhǔn)化策略格式并保存到策略庫(kù)中,形成的標(biāo)準(zhǔn)策略數(shù)據(jù)項(xiàng)包括源IP、目的IP、服務(wù)、方向、動(dòng)作、端口等。

2.2信息網(wǎng)拓?fù)浒l(fā)現(xiàn)工具

2.2.1掃描配置

配置的IP地址段對(duì)段內(nèi)的IP地址進(jìn)行端口掃描以及配置端口,進(jìn)行端口異常對(duì)比。

2.2.2交換機(jī)管理

對(duì)所有地市公司的交換機(jī)信息進(jìn)行展示,同時(shí)可新增、修改、刪除信息。

2.2.3發(fā)現(xiàn)私有地址

展示發(fā)現(xiàn)的私網(wǎng)路由設(shè)備及其詳細(xì)信息,并提供相關(guān)預(yù)警、統(tǒng)計(jì)分析和可視化展現(xiàn)功能。

2.2.4發(fā)現(xiàn)未知接入設(shè)備

展示發(fā)現(xiàn)的未知接入設(shè)備及其詳細(xì)信息,并提供相關(guān)預(yù)警、統(tǒng)計(jì)分析和可視化展現(xiàn)功能。

2.2.5發(fā)現(xiàn)未知及不合規(guī)端口和服務(wù)

展示發(fā)現(xiàn)的未知及不合規(guī)端口、服務(wù)及其詳細(xì)信息,并提供相關(guān)預(yù)警、統(tǒng)計(jì)分析和可視化展現(xiàn)功能。

2.2.6數(shù)據(jù)采集、接入

采集MAC表信息及根據(jù)IP地址段掃描端口,并將數(shù)據(jù)錄入到數(shù)據(jù)庫(kù)。

2.3基于lP的接入設(shè)備臺(tái)賬檢查工具

2.3.1設(shè)備臺(tái)賬管理

加載市縣公司的保護(hù)設(shè)備臺(tái)賬,并對(duì)臺(tái)賬進(jìn)行備注說明,并支持導(dǎo)出功能。

2.3.2保護(hù)設(shè)備臺(tái)賬

根據(jù)地市公司已備注說明的保護(hù)設(shè)備臺(tái)賬進(jìn)行展示,保護(hù)設(shè)備主要包括交換機(jī)、打印機(jī)等,并支持導(dǎo)出功能。

2.3.3臺(tái)賬對(duì)比結(jié)果

以MAC地址、IP地址為基礎(chǔ)信息,自動(dòng)核對(duì)IP管控、VRV、I6000設(shè)備臺(tái)賬信息,完成一致性檢查、沖突檢查、差異檢查,提供對(duì)比結(jié)果及詳細(xì)信息,并支持導(dǎo)出功能。

2.3.4數(shù)據(jù)接入接口

將地市公司的保護(hù)設(shè)備臺(tái)賬數(shù)據(jù)及VRV、I6000、IP管控的臺(tái)賬數(shù)據(jù)接入。

2.3.5數(shù)據(jù)對(duì)比服務(wù)

將市縣公司的VRV、I6000、IP管控接入的臺(tái)賬數(shù)據(jù)進(jìn)行兩兩對(duì)比。

3結(jié)語

本文建立了對(duì)公司信息內(nèi)外網(wǎng)邊界、拓?fù)?、私網(wǎng)全面監(jiān)控的統(tǒng)一管理系統(tǒng),減少了重復(fù)性工作,提高了日常督查效率:開展了資產(chǎn)臺(tái)賬對(duì)比工作,保障了臺(tái)賬的完整性和一致性,全面提升了公司信息內(nèi)外網(wǎng)邊界的安全性。安全督查工具通過加強(qiáng)對(duì)市縣公司安全設(shè)備的策略監(jiān)測(cè)和管控,實(shí)現(xiàn)了對(duì)防火墻策略命中情況分析、防火墻策略變更實(shí)時(shí)監(jiān)測(cè)預(yù)警、防火墻策略需求與實(shí)際策略一致性檢查分析等功能,還能排查信息內(nèi)網(wǎng)中是否存在私有網(wǎng)段、是否存在未知設(shè)備、是否開放未知及不合規(guī)端口服務(wù)等網(wǎng)絡(luò)安全隱患。